信任是一个复杂的概念,当某一事物为了达到某种目的总是按照人们所期望的方式运转,那么它就是可信任的。在I S O / I E C15408标准中给出了以下定义:一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。闵应骅在文献"闵应骅.可信系统与网络[J].计算机工程与科学,2001,23(5):21-23."中提出,计算机系统的可信性应包括:可用性、可靠性、安全性、健壮性、可测试性、可维护性等。因此,一个可信的计算机系统所提供的服务可以认证其为可依赖的。系统所提供的服务是用户可感知的一种行为,而用户则是能与之交互的另一个系统(人或者物理的系统)。此外,TCG对“可信”的定义是:“一个实体在实现给定目标时,若其行为总是如同预期,则该实体是可信的”(An entity can be trusted if it always behaves in the expected manner for the intended purpose)。这个定义将可信计算和当前的安全技术分开:可信强调行为结果可预期,但并不等于行为是安全的,这是两个不同的概念。
目前在计算机系统中已经采用了多种基于软件的安全技术用于实现系统及数据的安全,如X.509数字证书、SSL、IPSEC、VPN以及各种访问控制机制等。但是Internet的发展在使得计算机系统成为灵活、开放、动态的系统同时,也带来了计算机系统安全问题的增多和可信度的下降。
可信计算的本质主要是通过增强现有的终端体系结构的安全性来保证整个系统的安全。其主要思路是在各种终端(包含PC,手机以及其它移动智能终端等)硬件平台上引入可信架构,通过其提供的安全特性来提高终端系统的安全性。终端可信的核心是TPM (Trusted Platform Module)芯片。
以TPM为基础的“可信计算”由几个方面构成:用户的身份认证是对使用者的信任;平台完整性,体现了使用者对平台运行环境的信任;应用程序的完整性,体现了应用程序运行的可信;平台之间的可验证性,体现了网络环境中终端之间的相互信任。
可信网络研究领域主要解决的是如何将可信性从可信的终端设备扩展到网络之中,以及在现有的计算平台和资源环境下,如何使用可信度较低的终端系统来构建可信的网络,则是目前工业界和学术界的主要研究方向。已有的解决方案有天融信公司的基于可信服务的可信网络架构研究,思科公司的网络准入控制机制以及TCG的可信网络接入标准。
(1)可信网络及可信接入 针对目前网络的脆弱性所导致的不可信或不完全可信问题,为了提高网络系统的安全性、可用性和可控性,林闯在相关文献中首先回顾了互联网络的发展历程,预测地提出了新一代互联网络的研究内容,即网络的可信性、可控性和可扩展性;此外他在文献又给出了可信网络的基本定义,以及关键的科学问题,如网络与用户行为的可信模型,可信网络体系架构,服务的可生存性,网络的可控性等等。对于网络接入研究,TCG标准中则涉及了可信网络的接入,如何增强可信网络的安全性、可用性,并将现有的多种访问控制技术和网络安全技术融入其中是目前网络接入的研究重点。
(2)基于可信计算的无线移动网络安全 无线移动网络的迅速发展和广泛应用使得它也面临着安全威胁,无线网络的特点决定了对它的攻击方式与有线网络有所不同,因此必须研究新的专门用于无线网络的安全技术;下一代网络将是有线网络和无线网络的结合体,研究有线网络和无线网络的安全技术,为下一代网络的安全技术研究奠定基础是非常有意义的。Zheng Yan在相关文献中构建了一个处理可信移动环境问题的概念环状模型,从而依据该模型来研究可信移动环境下的通信、服务和应用的可信问题。该模型从里层向外依次为概念层、理论层、实现层和应用层,主要研究可信的概念、相关理论和构建方法、基于理论的模型和标准的构建以及支持可信的应用和系统的实现。**后并给出一个基于此概念模型的移动P2P应用。郑宇等在相关文献中针对移动终端的安全性问题,首先讨论了现有解决方案存在的问题,如基于PIN的用户身份认证,基于生物特征和智能卡的身份认证等,以及TMP标准存在的缺陷,提出了结合USIM(Universal Subscriber Identity Module) 和TPM(可信平台模块) 的可信移动平台(TMP),并以智能手机主流处理器为基础,讨论了TMP的设计案例以及TPM 在ME中的三种构建方法,给出了基于可信计算的移动终端认证方案,实现了用户和ME、用户和USIM间的相互认证,强化了用户域的安全,并可满足TMP标准草案中安全等级3 对用户认证的要求。该方案在不要求使用者与ME预先协商信任关系的前提下,既可区分攻击者和合法用户,又可辨别ME 的主人和普通使用者,并能在认证过程中及早发现攻击行为,避免不必要的计算开销。**后所提方案和已有的方案作了安全性、通用性和执行效率上的比较。此外,他在文献中提出了基于可信计算的4G移动网络的安全框架。Shane Balfe在相关文献中根据普适网络中节点的若干特性,如动态性、上下文感知性、不可见性以及资源有限性,提出了保障普适网络中移动终端节点可信与安全,基于TPM芯片的移动节点的加入和验证架构,该结构分为被匿名认证访问一个安全设施、安全存储与机密信息的非泄露与秘密共享等三个步骤。**后以一个匿名投票的案例对所提架构加以应用和阐释。
(3)基于可信计算的Peer-to-Peer安全 P2P网络回归了互联网络的本质,不存在集中的控制节点,每个Peer之间是对等的,它既可以作为服务器,也可以作为客户机,Peer之间相互共享资源和交换信息。但由于P2P网络中节点的匿名和身份不确定性,因此带来了Peer间相互信任问题,以及不可忽视的信息安全问题与隐私问题。近来Sandhu在相关文献中给出了P2P网络中基于可信计算实现资源共享的解决方案,他们的研究主要集中在OM-AM (Objective-Model -Architecture-Mechanism)的架构层次,并未涉及到安全模型层,因此该解决方案对于选择何种策略模型具有一定的普遍意义。该解决方案在TPM基础上,添加了安全的OS内核与关键部件-Trusted Reference Monitor,实现了“服务器推”模式,基于可信计算的原理,在客户端保障资源访问控制策略的完整性实施。文中同时给出了基于TPM的相关的身份认证、策略分发和策略实施协议等,是实现P2P网络中资源安全共享的访问控制策略。Shane Balfe在文献中也基于P2P网络的安全性问题,采用TCG标准的DAA (Direct Anonymous Attestation)协议实现了Peer间的认证,减少了Peer的相关证书及隐私的暴露。关于DAA的详细介绍,可参考相关文献,以及Liqun Chen在06年提出的基于属性的远程证明协议方案。